微信号:dellemc_tech

介绍:为戴尔易安信客户提供技术支持服务,为广大IT行业用户分享技术文章与行业信息。

EMC存储上的大数据 –安全分析阶段方法

2017-07-05 16:16 EMC中国技术社区

     企业一直在处理快速增长的数据量(也称为大数据)的存储和管理问题。


     本文为系列的第十五篇,介绍安全分析,针对“大数据”的分阶段方法。

 

     虽然预测性分析和统计推理等高级技术在将来很有可能被证明是重要的技术,但对于安全团队来讲,重要的是从关注基本技术开始,采用分阶段的方法。


     从实施能够与组织一同发展的安全数据基础架构开始。这包括实施一个体系结构,它不仅可以收集关于日志、网络、安全漏洞、配置和身份验证的详细信息,还能收集关于系统做了什么以及它们如何工作的人工智能信息。虽然组织可以从小系统开始,但该系统需要基于强大的分布式体系结构,以确保它能够随着需求的发展进行扩展。该系统必须支持信任的逻辑域,包括安全策略以及针对不同业务部门或项目的数据。该系统需要能够快速轻松地处理这些数据并以此为中心。例如显示来自给定 IP 地址的所有日志、网络会话和扫描结果及其与生产财务系统的通信。


  • 部署基本的分析工具以自动执行重复性人工交互。近期目标通常是创建一个模型,将信息以可视方式进行关联,减少人工将所有这些信息收集到一个视图中所需的步骤数。例如,显示涉及以下系统的所有日志和网络会话:支持信用卡事务处理的系统,以及易受到业务其他部分发生过的攻击损害的系统。

  • 创建支持重要安全功能的可视化和输出。一些分析师将仅需要查看最可疑的事件及一些支持详细信息。恶意内容分析师将需要排定优先级的可疑文件清单以及它们之所以可疑的原因。网络取证分析师将需要复杂查询的详细结果。其他人将需要审核计划的法规遵从性报告,或用于查看趋势或系统中有待改进的领域的常规报告。该系统还需要是开放的,以便支持其他系统访问数据并利用这些数据来针对攻击者采取行动,例如将其隔离或对他们正在做些什么进行监视。

  • 添加更多其他的智能分析方法。仅当此时方可对数据应用更加复杂的分析以支持这些角色。这些分析可能包括多种分析技术的组合,例如定义的规则以确定可能的不良行为/已知的良好行为。它还可能合并更加高级的行为概括和基线技术,可部署更加高级的统计技术,例如贝叶斯推理或预测性建模。这些分析技术可结合使用,以创建“影响力模型”,即一个模型结合不同的指标来对系统找出的问题进行“评分”,以便将分析师引导至需要最紧急关注的领域。

  • 不断地改进这一模型。当系统上线并运行后,需要持续地进行调整,以便响应不断变化的威胁载体和对组织的更改。该系统需要能够调整有误差的规则,以及调整模型以消除 误报、使用来自于组织内部和外部的更多数据,并采用自我学习功能来提高系统的整体成功。


     该系统需要能够发展和扩展,以响应随着新的 IT 服务和应用程序上线而产生的对IT 环境的更改,从而形成不断发展和改进的循环。在每一点上,该系统都需要利用外部智能信息作为模型的输入。这意味着该系统需要采用:自动化的方式来使用来自于威胁智能源的外部供给;结构化的信息,包括黑名单、规则或查询;非结构化的智能信息,包括即时通讯及社交网络聊天;以及来自于内部消息面板的智能信息或内部呼叫或会议的说明。该系统还必须能够促进围绕着知识共享而进行的协作。该系统应当能够共享查询结果或非结构化的智能信息,无论是以公开方式、利用利益各方共同信任的社区的受控方式,还是按照“需要了解”的原则。




其它参考文章:

【存储入门必读】存储基础知识



更多精彩内容,请点击阅读原文”进行查看!

如何每天都能收到如此精彩的文章?

①点击右上角点击查看官方账号”→点击关注

②长按并识别下图中的二维码,直接访问EMC中文支持论坛


 
戴尔易安信技术支持 更多文章 【存储入门必读】浅谈硬盘构造及IOPS的计算 网络虚拟化(三):VXLAN虚拟可扩展局域网(上) 网络虚拟化(五):通过划Zone来提高虚拟网络的安全性 iSCSI, FC和FCoE的比较和适用场景 【专家问答】VNX File Replication详解
猜您喜欢 野生程序员的故事 在Egret项目中使用protobuf 记忆的盒子 Linux完整性保护机制模块实现分析(5) 浅谈JVM及原理